Prezentare generală a CVE-2023-21716-Microsoft Word RTF Font Table Heap Corruption
Microsoft a emis recent un aviz de securitate care descrie CVE-2023-21716, o vulnerabilitate critică de tip RCE (Remote Code Execution) care afectează mai multe versiuni ale aplicațiilor Office, SharePoint și 365.
Această vulnerabilitate este declanșată de o vulnerabilitate de corupție a heap-ului în parserul Rich Text Format (RTF) al Microsoft Word atunci când procesează un tabel de fonturi (fonttbl) care conține un număr excesiv de fonturi (f###). Aceasta poate fi exploatată de un atacator prin trimiterea unui e-mail malițios sau prin încărcarea unui fișier care conține o sarcină utilă RTF și prin atragerea utilizatorului pentru a deschide fișierul.
Atunci când victima deschide fișierul malițios, atacatorul obține acces pentru a executa cod arbitrar în cadrul aplicației utilizate pentru a deschide fișierul. Chiar și panoul de previzualizare poate fi folosit pentru a lansa un atac. Ca urmare, acest lucru ar putea duce la instalarea de programe malware, la furtul de date sensibile sau la alte activități rău intenționate.
Vulnerabilitatea a primit un scor CVSS de 9.8 (Critical) datorită posibilității ridicate de exploatare și interacțiunii minime necesare din partea victimei.
Am scanat un fișier RFT conținând cod malițios utilizând OPSWAT MetaDefenderși am observat că numai 3 din 21 de motoare antimalware au detectat amenințarea. Prin urmare, o organizație care se bazează pe metode de detectare bazate pe semnături ar putea deveni potențial vulnerabilă la atacuri.
Soluțiile de rezolvare a vulnerabilităților afectează productivitatea
Microsoft a publicat patch-uri în actualizarea Patch Tuesday din 14 februarie 2023. Aceștia recomandă actualizarea produselor afectate.
Pentru utilizatorii care nu pot aplica remedierea, Microsoft sugerează mai multe soluții pentru a reduce riscul ca utilizatorii să deschidă fișiere RTF din surse necunoscute sau de neîncredere. Cu toate acestea, soluțiile de rezolvare nu sunt nici ușor de implementat și nici eficiente în menținerea activităților comerciale obișnuite.
- Microsoft sugerează citirea e-mailurilor în format text simplu, care este puțin probabil să fie adoptat din cauza lipsei textului bogat și a conținutului media. Deși această soluție poate elimina amenințarea, ea nu acceptă afișarea imaginilor, animațiilor, a textului bold sau italic, a fonturilor colorate sau a altor formate de text. Acest lucru duce la o pierdere substanțială a informațiilor cruciale din e-mail.
- O altă soluție este activarea politicii Microsoft Office File Block, care restricționează aplicațiile Office de la deschiderea fișierelor RTF care au origini necunoscute sau de neîncredere. Pentru a pune în aplicare această metodă, este necesară modificarea Registrului Windows. Cu toate acestea, este necesară prudență, deoarece utilizarea necorespunzătoare a editorului de registru poate cauza probleme semnificative care pot necesita reinstalarea sistemului de operare. În plus, dacă nu a fost desemnat un "director scutit", există posibilitatea ca utilizatorii să nu poată deschide niciun document RTF.
Rămâneți în siguranță fără soluții complicate sau sacrificarea capacității de utilizare
În loc să gestioneze soluții complexe sau să sacrifice utilizabilitatea fișierelor, tehnologia Deep CDR™ (Content Disarm and Reconstruction) oferă o soluție.
Tehnologia Deep CDR™ protejează împotriva amenințărilor avansate și zero-day. Identifică și elimină conținutul rău intenționat din fișierele primite, cum ar fi atașamentele de e-mail sau fișierele încărcate, oferind în același timp fișiere sigure și utilizabile.
Prin eliminarea tuturor obiectelor încorporate în fișierele RTF și reconstruirea fișierelor din componente sigure verificate, tehnologia Deep CDR™ asigură că fișierele sunt curățate și sigure pentru acces, fără niciun fel de amenințări potențiale.
Procesul Deep CDR™ Technology implică următoarele etape:
Tehnologia CDR este foarte eficientă în ceea ce privește protecția împotriva amenințărilor necunoscute și sofisticate, deoarece nu se bazează pe detectarea și blocarea unor semnături malware specifice.
Tehnologia Deep CDR™ permite administratorilor să configureze procesul de curățare pentru fișierele RFT. Pentru a se asigura că fișierele de ieșire nu prezintă vulnerabilități, toate fișierele RTF sunt supuse unei analize pentru a determina numărul de fonturi din tabelele lor de fonturi. Dacă numărul depășește o limită preconfigurată, tabelele de fonturi sunt eliminate din fișiere.
În mod implicit, tabelele de fonturi cu mai mult de 4096 de fonturi, un plafon standard, sunt eliminate. Cu toate acestea, această configurație poate fi personalizată pentru a permite luarea de decizii în cunoștință de cauză și pentru a se alinia la cazul dvs. specific de utilizare.
Tehnologia Deep CDR™ oferă vizualizări detaliate, enumerând obiectele curățate și acțiunile întreprinse, permițându-vă să luați decizii informate pentru a defini configurații care corespund cazului dvs. de utilizare. Mai jos este prezentat rezultatul fișierului RTF rău intenționat după ce a fost curățat de tehnologia Deep CDR™. Fontul încorporat a fost eliminat, ceea ce a eliminat vectorul de atac. Drept urmare, utilizatorii pot deschide fișierul fără să se teamă că vor fi compromiși.
Putem observa că fontul încorporat anormal a fost eliminat prin deschiderea atât a fișierului RTF original malițios, cât și a versiunii igienizate.
Descoperiți cea mai bună soluție de securitate pentru a preveni malware-ul zero-day și malware-ul avansat evaziv, aflând mai multe despre tehnologia Deep CDR™ și Multiscanning, sau consultând un expert OPSWAT .
